Veracode เผยมีแอปถึง 42% กำลังแบกรับหนี้ด้านความมั่นคงปลอดภัย

‘หนี้’ คือสิ่งที่เราต้องชดใช้เข้าสักวัน เช่นเดียวกับหนี้ทางความมั่นคงปลอดภัย ที่แอปพลิเคชันกว่า 42% กำลังแบกอยู่ โดย Veracode ผู้ให้บริการด้านความมั่นคงปลอดภัยของซอฟต์แวร์ ได้เผยผลสำรวจที่น่าสนใจจากการตรวจสอบแอปพลิเคชันนับล้านตัว

Credit: ShutterStock.com

Veracode ได้วิเคราะห์ซอฟต์แวร์ราว 1,553,000 ตัวด้วยการทำ Dynamic Analysis และ 11,429,365 ด้วย Static Analysis ซึ่งผลลัพธ์พบว่า

  • องค์กรราว 46% ยังคงมีหนี้ทางความมั่นคงปลอดภัยที่จัดอยู่ในระดับร้ายแรง
  • ช่องโหว่ 63% เกิดขึ้นจากโค้ดของตัวเอง ซึ่งช่องโหว่ประเภท Known จะได้รับการแก้ไขด้วยระยะเวลาราว 7 เดือน
  • ช่องโหว่จาก 3rd Party มีจำนวนมากกว่าโดยคิดเป็นสัดส่วนราว 70% แถมยังใช้เวลาแก้ไขนานกว่าด้วยระยะเวลาถึง 11 เดือน
  • 70% ของช่องโหว่ในแอปพลิเคชันสัมพันธ์กับสิ่งที่ปรากฏใน OWASP Top 10 แต่อีกด้านหนึ่งที่เกี่ยวข้องกับ CWE จะมีแอปพลิเคชันราว 41% ที่มีช่องโหว่ตามคำแนะนำเหล่านี้
  • แอปพลิเคชันราว 64% ที่สามารถขจัดช่องโหว่ร้ายแรงออกไปได้ นั่นแสดงถึงความสามารถในการแก้ไขช่องโหว่ และการจัดอันดับความสำคัญ ซึ่งในบรรดาช่องโหว่จำนวนมากนั้น มีเพียง 3% ที่เข้าขั้นร้ายแรงที่องค์กรต้องให้ความสำคัญเป็นลำดับแรก

ในอนาคต AI อาจจะมีบทบาทเข้ามาช่วยแบ่งเบาภาระการค้นหาและแก้ไขช่องโหว่ได้ แต่ในทางกลับกันคนร้ายก็สามารถใช้ AI เพื่อผลลัพธ์อีกด้าน ซึ่งหากฝ่ายพัฒนาทำได้อย่างรวดเร็วหนี้ด้านความมั่นคงปลอดภัยเหล่านี้ก็จะลดลงอย่างมีนัยสำคัญ รวมถึงการพัฒนาตัวเองสู่วัฒนธรรม DevSecOps ก็คือสิ่งที่จะช่วยลดภาระหนี้ที่เกิดขึ้นได้

ที่มา : https://devops.com/veracode-report-shines-spotlight-on-massive-application-security-debt/ และ https://betanews.com/2024/02/14/42-percent-of-applications-suffer-from-security-debt/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

[Video] WatchGuard Webinar : Zero Trust Made Simple

ในอดีต การวางระบบ Zero Trust Architecture มักถูกมองว่าเป็น ‘ยาขม’ ของฝ่ายไอทีและองค์กรจำนวนมาก เพราะแนวคิดที่ต้อง ‘ไม่เชื่อใจใคร และต้องตรวจสอบเสมอ’ นั้น มักตามมาด้วยความซับซ้อนยุ่งเหยิงในการบริหารจัดการ ในงาน WatchGuard Webinar ครั้งนี้ท่านจะได้รับชมกับแนวทางที่ทำให้ Zero Trust …